一项针对2500万条警报的大规模分析显示,安全团队平均每周会忽略一个真实威胁。原因并非缺乏技术,而是一种危险的偏见:将其归类为低严重性。这些低级别警报不断累积,为攻击者打开了可乘之机,他们不紧不慢,却高效地利用这些漏洞。
只优先处理关键威胁的隐性成本 🧠
警报疲劳和资源短缺导致分析师按严重级别筛选,忽略了诸如失败的身份验证尝试或低频异常流量等事件。然而,这些事件在时间上的关联可能揭示出侦察或数据窃取的模式。忽视它们并不能消除它们,反而使其成为悄然升级的复合风险。
忽视不响警报的事件的艺术 🔍
攻击者早已意识到:如果噪音不足以触发警报,最好以低音量但持续的方式进行。与此同时,安全团队就像端着冷咖啡的办公室职员,忙于扑灭大火,却任由火星点燃地毯。最终,每周被忽略的威胁并非技术故障,而是典型的人为疏忽。